Google detecta kit de exploits para iPhone que roba frases semilla de monederos

Investigadores de seguridad han descubierto un kit de hacking diseñado para comprometer iPhones de Apple y robar datos de monederos de criptomonedas.

Analistas de amenazas de Google afirman que el kit de exploits apunta específicamente a usuarios de criptomonedas al buscar en los dispositivos infectados frases semilla de monederos y otra información financiera.

La herramienta, conocida como Coruna, se centra en iPhones con versiones antiguas de iOS.

Según el Grupo de Inteligencia de Amenazas de Google, el kit contiene varias cadenas de exploits capaces de acceder a información sensible de los dispositivos objetivo.

Los investigadores dijeron que identificaron por primera vez partes de la infraestructura del ataque a principios de 2025 y posteriormente observaron que el exploit aparecía en actividad de espionaje así como en redes de sitios web fraudulentos de criptomonedas diseñados para robar activos digitales.

Kit de exploits apunta a dispositivos iOS más antiguos

Los investigadores indicaron que Coruna apunta a iPhones con versiones de iOS desde la 13.0 hasta la 17.2.1.

El framework contiene cinco cadenas de exploits completas y un total de 23 vulnerabilidades, incluyendo varios exploits previamente desconocidos.

El Grupo de Inteligencia de Amenazas de Google dijo que las primeras trazas del kit aparecieron en febrero de 2025 durante una investigación que involucraba a un cliente de una empresa de vigilancia.

Los atacantes usaron código JavaScript para identificar de forma única a los dispositivos que visitaban.

Esto les permitió determinar si el iPhone era vulnerable antes de enviar la cadena de exploits apropiada.

Los investigadores dijeron que el exploit no funciona en las versiones más recientes de iOS.

Por ello recomendaron a los usuarios instalar las actualizaciones más recientes publicadas por Apple o activar el Modo de Bloqueo, una función de seguridad diseñada para contrarrestar ataques cibernéticos sofisticados.

Sitios falsos de criptomonedas distribuyen el ataque

Un análisis adicional mostró que el framework del exploit apareció más tarde en múltiples sitios ucranianos comprometidos.

El código malicioso estaba configurado para que solo se entregara a usuarios de iPhone seleccionados ubicados en regiones geográficas específicas.

Posteriormente los investigadores identificaron el mismo framework incrustado en una amplia red de sitios chinos falsos relacionados con servicios financieros y de criptomonedas.

Algunos de estos sitios suplantaban plataformas legítimas.

Un ejemplo descubierto por los investigadores suplantaba al exchange de criptomonedas WEEX.

Cuando un usuario de iPhone visita uno de estos sitios, el kit de exploits se entrega al dispositivo.

El software entonces escanea el teléfono en busca de información financiera, analizando mensajes y datos almacenados en busca de frases semilla y palabras clave como "frase de respaldo" o "cuenta bancaria".

El exploit también busca aplicaciones de criptomonedas instaladas, como Uniswap y MetaMask, para localizar datos de monedero.

Vínculos de espionaje identificados inicialmente

Los investigadores dijeron que el kit de exploits estuvo inicialmente vinculado a un supuesto grupo de espionaje ruso que tenía como objetivo a individuos ucranianos.

Investigaciones posteriores revelaron que la misma infraestructura se estaba utilizando en campañas con sitios cripto falsos diseñados para robar fondos.

La reutilización del framework del exploit en ataques de espionaje y financieros ilustra cómo la infraestructura de hacking sofisticada puede propagarse entre grupos de amenazas.

Los orígenes siguen siendo objeto de debate

El origen del kit de exploits Coruna sigue sin estar claro y es objeto de debate entre los investigadores en ciberseguridad.

La empresa de seguridad móvil iVerify dijo a WIRED que el kit podría haber sido desarrollado o comprado por el gobierno de EE. UU. debido a su complejidad y coste de desarrollo.

Sin embargo, investigadores de Kaspersky dijeron que no encontraron evidencia que muestre reutilización de código que vincule a Coruna con herramientas cibernéticas del gobierno de EE. UU. previamente conocidas.

Un investigador principal de seguridad dijo a The Register que los informes disponibles actualmente no apoyan esa atribución.